Validering

Så kan brugeren jo ikke skrive < eller >...
Hvad er idéen i det?

fordi så kan man ikke lave tags som f.eks. <b> og lign.

Men okay - hvis de absolut ikke må det, kan du f.eks. gøre det således.

if InStr(Request.form("name"), "<") > 0 Or InStr(Request.form("name"), ">") > 0 then Response.Redirect("http://newz.dk")

shaggy ---> Ja, men hvorfor må de ikke det?

Hvis nogle har en ide til hvorledes at tegn som "<" kan omformes til "&lt;" inden data bliver gemt i databasen så kan det også være en løsning

Det skal ikke konverteres til noget som helst, før du indsætter det i databasen. Det eneste, du skal tænke på er, når det udskrives i browseren.
Og det klarer du således:

Streng = "<b>Denne tekst er ikke fed</b>"
Response.Write Server.HTMLencode(Streng)

fordi en anden side henter de pågældende data og sætter dem ind i html kode. Så hvis nu en bruger vil være sjov kan pågældende fx skrive <h1><a href="pornking.com">JEG ER FOR SEJ</a></h1> som sit navn hvorefter linket dukker op på den side som henter data fra databasen

Ved brug af HTMLencode kan brugeren skrive alt det kode, han/hun vil, uden at det vil blive tolket.
Prøv selv.

<%
    Set Conn = Server.CreateObject("ADODB.Connection")
    Conn.Open "PROVIDER=MSDASQL;DRIVER={Microsoft Access Driver (*.mdb)};DBQ=" & Server.MapPath("../../db/larsbo.mdb")
    Set rs = Server.CreateObject("ADODB.RecordSet")
    strSQL = "SELECT * FROM tagwall order by id DESC"
    Set rs = Conn.Execute(strSQL)
%>
<%= rs("name") %><br>
<%= rs("message") %><br>
<%= rs("email") %><br>
<%= rs("time") %><br>

Jeg udskriver med denne kode, hvordan indsætter jeg din kode "Streng = "<b>Denne tekst er ikke fed</b>"
Response.Write Server.HTMLencode(Streng)" ??

<%
    Set Conn = Server.CreateObject("ADODB.Connection")
    Conn.Open "PROVIDER=MSDASQL;DRIVER={Microsoft Access Driver (*.mdb)};DBQ=" & Server.MapPath("../../db/larsbo.mdb")
    Set rs = Server.CreateObject("ADODB.RecordSet")
    strSQL = "SELECT * FROM tagwall order by id DESC"
    Set rs = Conn.Execute(strSQL)
%>
<%= Server.HTMLencode(rs("name")) %><br>
<%= Server.HTMLencode(rs("message")) %><br>
<%= Server.HTMLencode(rs("email")) %><br>
<%= Server.HTMLencode(rs("time")) %><br>

Sværere er det såmænd ikke.

ahhh kanon, jeg siger tak

Så lidt da :)

<% @LANGUAGE = VBScript %>
<% Option Explicit
Response.Expires = 0

Function DBFix(tempString)
    tempString = Replace(Trim(tempString), "'", "''")
    tempString = Replace(tempString, "{", "")
    tempString = Replace(tempString, "}", "")
    tempString = Replace(tempString, "<", "")
    tempString = Replace(tempString, ">", "")
    DBFix = tempString
End Function

Dim name,email,mode,message

name = DBFix(Trim(Session(Request.form("name"))))
email = DBFix(Trim(Session(Request.form("email"))))
mode = Request.QueryString("mode")
message = Request.form("message")

If mode = "send" Then
    If name = "Your Name" Then
        Response.Redirect("http://newz.dk")
    End If

    If name = "Your Email" Then
    Response.Redirect("http://newz.dk")
    End If

    Set Conn = Server.CreateObject("ADODB.Connection")
    Conn.Open "PROVIDER=MSDASQL;DRIVER={Microsoft Access Driver (*.mdb)};DBQ=" & Server.MapPath("../../db/larsbo.mdb")
    Set rs = Server.CreateObject("ADODB.RecordSet")
    strSQL = "Select * From tagwall"
        rs.Open strSQL, Conn, 1, 3
        rs.addnew
        rs("name") = name
        rs("message") = message
        rs("email") = email
        rs("time") = Now()
        rs.update
        rs.Close
    Set rs = Nothing
    Conn.Close
    set Conn = Nothing
    Response.Redirect("index.asp")
End If
%>

På denne måde undgår du at folks evn. asp eller javascript's bliver generet. Scriptet
er ikke checket, så det kan godt være at der er nogle "runtime error"'s. Håber det kan
hjælpe.

//Hjalte

Hvorfor dog manipulere med folks data, når der findes glimrende funktioner til at undgå tolkning af eventuelle kodestumper?